Ideas sobre la responsabilidad del Compliance Officer en España (1/2)

Aunque no me atrevo a meterme en la cabeza del legislador, la lectura del art. 31 bis del Código Penal parece establecer un sistema parecido al italiano, al imputar al “órgano de administración” la obligación de adoptar un sistema de compliance y al compliance officer la de supervisar su eficacia (cfr. 31 bis 2, 1ª y 2ª del Código Penal). En efecto, parece que en el plano teórico se establecen dos órganos con funciones y responsabilidades limitadas y delimitadas, puesto que solo el órgano de administración (business owner, en definitiva) tiene la obligación de ordenar lo necesario para disponer de un compliance program, de adoptarlo y ejecutarlo con eficacia, como consecuencia de ese tone from the top que predicamos. Adoptarlo, en un primer momento, o no adoptarlo, podría significar a la postre la comisión por omisión de un delito por el órgano de administración en el caso de que el ilícito suceda, precisamente por sugerir el defecto organizativo doloso que ahora ha establecido el Tribunal Supremo (cfr. Sentencia de 29 de febrero de 2016). Pero es que además el legislador hace responsables a los administradores –como no podía ser de otra manera– de la eficacia del compliance program al concretar la obligación de ejecutarlo con eficacia. La doctrina establece que esa ejecución prevé, en el plano práctico y entre otras cosas, el nombramiento de un compliance officer que supervise el modelo, la dotación presupuestaria para cumplir con esa función y la investidura de poderes autónomos de iniciativa y control (conceptos que traerán cola). En definitiva, los administradores son vistos como los dueños y señores de la función de compliance, sin perjuicio de que el área de compliance lo ocupe el responsable de cumplimiento (estos dos conceptos también son importantes).

Por su parte, el compliance officer es un empleado (o un grupo de), no es el dueño de negocio, y según el legislador tiene funciones de supervisión y poderes autónomos de iniciativa y control, tratando de equipararlo de alguna forma a la Comisión de Auditoría de la Ley de Sociedades de Capital. Que el compliance officer sea un órgano autónomo con ciertos poderes no le sitúa, a mi juicio, como propietario del riesgo ni de su obligación de evitarlo. Autonomía no significa, en este sentido, que el compliance officer ocupe el lugar del administrador, por lo que su responsabilidad no puede, en modo alguno, ser la misma. Como oí el otro día a un verdadero maestro, no es lo mismo autonomía que independencia (como no es lo mismo una Cataluña autónoma que una Cataluña independiente, terminaba explicando), así que en ningún modo el compliance officer es uno de los personajes de la cúspide de la empresa, como pertinazmente insiste la Fiscalía General del Estado en su Circular 1/2016. Me gusta acudir a la figura de que el compliance officer es el portero de un equipo de fútbol, que avisa de las fallos en la marca, de los posibles pases o de las arremetidas del contrario precisamente por su especial visión desde el fondo del campo, pero tiene una responsabilidad muy limitada cuando el balón acaba en el fondo de su red.

Llegados a este punto y explicado el marco, me interesa hablar del concepto de responsabilidad, para colocar a cada uno en su sitio (compliance officer vs. administradores) en el juego de obligaciones del cumplimiento normativo. En el habla cotidiana, otorgamos a la “responsabilidad” un significado tan amplio que sirve para “hacer responsable al dueño del ganado de su alimentación”, al “entrenador del fracaso de su equipo” o a la “lluvia de las últimas inundaciones” de forma que “responsabilidad” se usa por igual en el derecho sancionador administrativo o penal, en la culpa civil objetiva y en la subjetiva. Parece evidente que el compliance officer –como responsable de la supervisión– tiene responsabilidad en cuanto al funcionamiento, pero de qué tipo. Sin ser un convencido de Hart, acudo a su definición sobre la responsabilidad, puesto que querría otorgar al compliance officer la llamada role-responsability, al asumir delegadamente unas obligaciones que pertenecen por derecho propio al órgano de administración (la eficacia del programa de cumplimiento, solo desde el punto de vista de la supervisión), al que además le afecta la llamada liability-reponsability, es decir, la responsabilidad como sancionabilidad, como imputabilidad jurídica propiamente dicha.

Así, desde el punto de vista teórico-dogmático-filosófico, el compliance officer solo sería responsable si es el autor material del delito, cuestión que nos lleva a la segunda parte de este artículo.

Néstor Aparicio

Governance, Risk & Compliance at Ecix Group

Profesor del programa superior de Compliance del Instituto de Empresa, del máster de la abogacía de la Universidad de Castilla-La Mancha y miembro de la subcomisión de Prevención de Blanqueo de Capitales del Consejo General de la Abogacía Española.